国务院新规下科创企业跨境投资合规要点——《国务院关于对外投资的规定》第十三条解读

2026-06-05

《国务院关于对外投资的规定》（国务院令第837号，2026年5月5日公布，自2026年7月1日起施行）是我国首部专门规范对外投资的行政法规。其中第十三条将出口管制、技术出口、跨境服务、数据出境与人员派遣的合规要求一并纳入对外投资监管框架，并穿透合同形式，关注技术能力的实际跨境转移，对科创企业开展对外投资活动的规范要求最为直接。

第十三条原文

投资者开展对外投资活动，不得出口、使用国家禁止出口的货物、技术、服务及相关数据，或者未经许可出口、使用国家限制出口的货物、技术、服务及相关数据；不得以跨境派遣技术人员、组织人员赴其他国家（地区）工作、跨境提供技术指导、安排人员跨境培训等方式向其他国家（地区）转移国家禁止出口的货物、技术、服务及相关数据，或者未经许可向其他国家（地区）转移国家限制出口的货物、技术、服务及相关数据。

相较于以往的实务认知，第十三条作出了重要修正。过去部分企业认为，只要不直接出口设备、不签订技术许可合同，仅通过派遣工程师赴境外调试、培训当地团队、将代码部署至境外云环境、向海外子公司开放算法模型或工艺参数，即不会落入出口管制或技术出口范畴。第十三条第二句以列举方式明确将"跨境派遣技术人员、组织人员赴境外工作、跨境提供技术指导、安排人员跨境培训"等人员与协作行为纳入禁止与许可监管范围。监管标准以技术、服务、数据是否实际越境为准，而非以合同名义为准。

本文基于德恒南京涉外与合规团队服务科创企业跨境贸易与投资的实务经验，提示国务院新规下科创企业出海应重视的合规要点。讨论聚焦以技术、数据、人员为载体的能力跨境，全文先识别风险场景与监管机理，再就数据这一被普遍低估的维度展开，最后落到能力清单、合同条款、流程节点与综合建议，供科创企业在规划、开展、调整出海业务时参考。

一、跨境投资易被低估风险的五类场景

根据新规要求，结合我们服务企业海外投资的合规实践，科创企业跨境投资存在五类易被低估风险的场景。

第一类：出口产品附带技术交付。出口标的表面上为设备、系统或软件产品，但交付内容包含安装调试、参数校准、工艺优化、源代码接口、模型训练方法、客户定制算法等。若相关技术、服务或数据落入禁止或限制出口范围，将合同拆分为"设备销售＋售后服务"两份协议，并不降低实质性监管风险。

第二类：海外设厂或建立组装基地。硬科技企业在东南亚、欧洲、中东设立生产、测试或维修中心，旨在贴近客户、规避贸易壁垒或提升交付效率。若境外基地需复制境内关键工艺、测试方法、材料配方、生产控制软件、良率优化模型，则可能触发技术出口、两用物项出口管制或数据出境审查。

第三类：设立海外研发中心。研发中心常以本地化创新为名，但运营依赖境内母公司的代码库、研发文档、专利实施经验、测试数据、缺陷库、工艺知识以及工程师远程指导。第十三条明确将跨境提供技术指导和安排人员跨境培训列为监管对象，表明人员与协作行为已成为合规审查重点。

第四类：SaaS、云服务与算法模型出海。软件与人工智能企业无传统货物出口行为，但服务交付可能涉及算法能力、模型参数、训练数据、接口文档、运维权限、日志数据及客户数据的跨境流动。《中华人民共和国出口管制法》（2020年12月1日起施行）第二条已将与管制物项相关的技术资料等数据纳入管制物项；《两用物项出口管制条例》（国务院令第792号，2024年12月1日起施行）亦将货物、技术和服务及相关技术资料等数据一并界定为两用物项。

第五类：对外投资后的境外再转移。企业取得对外投资核准备案后，常误认为后续由境外子公司开展的再投资、再许可、再分包、再部署与中国境内主体无关。该判断存在法律漏洞。《国务院关于对外投资的规定》第三十三条第二款明确，以对外投资获得的资产、权益等在境外再投资的管理，依照本规定和国家其他有关规定执行；第十四条进一步规定，对外投资涉及货物与技术进出口、跨境服务贸易、跨境数据流动、出口管制、网络安全监管等事项的，依照有关法律、行政法规和国家有关规定执行。境外再转移行为并未脱离监管视野。

二、第十三条的审查口径与责任来源

第十三条未创设新的实体禁止性规范。它将既有的出口管制、技术出口禁止性规则纳入对外投资的行为规则，并补充列举了以人员为载体的监管路径。监管重心从合同标的与报关单扩展至可能涉及技术能力转移的全过程。

技术出口不限于专利转让或软件许可。《中华人民共和国技术进出口管理条例》项下的技术进出口，覆盖通过贸易、投资或经济技术合作发生的技术转移；《禁止出口限制出口技术管理办法》明确，列入《中国禁止出口限制出口技术目录》的禁止出口技术不得出口，限制出口技术实行许可证管理，该目录为动态调整。商务部、科技部于2023年公布新版《中国禁止出口限制出口技术目录》（公告2023年第57号），又于2025年7月15日作部分调整（公告2025年第28号），本次调整删除三项、新增一项、修改一项，新增电池正极材料制备等限制类条目，修改有色金属冶金技术控制要点；公告同时载明，属于军民两用技术的，纳入出口管制管理。企业不能以立项时的一次性判断覆盖后续多年的出海安排——目录更新、临时管制、目的国风险变化均可能改变同一交易的合规结论。

通过派遣人员赴境外实施、培训、排故、调参等方式转移技术，在效果上与发送技术文档、开放源代码库、交付工艺包无实质区别。第十三条将跨境派遣技术人员、组织人员赴境外工作、跨境提供技术指导、安排人员跨境培训逐项写入，意味着上述行为不再仅属于劳动派遣或商务差旅范畴，而应纳入技术、服务及相关数据跨境转移的审查口径。

第十三条本身未设置独立罚则。与之相比，违反第十五条（境外投资安全审查）的，由第二十八条处罚；违反第十七条（扰乱市场秩序）的，由第二十九条处罚。第十三条的法律责任依据来源于两方面：一是第十四条指引下的《出口管制法》、《两用物项出口管制条例》、《中华人民共和国数据安全法》等规范，这些规范规定了没收违法所得、罚款乃至刑事责任；二是《国务院关于对外投资的规定》第三十条第二款的兜底条款，即对外投资活动违反其他法律、法规的，由有权机关责令改正并依法处理。因此，第十三条划定行为边界，而违反该边界的法律后果由出口管制与数据安全的专门法规定。

三、数据跨境审查中的重要数据界定

科创企业常将数据跨境合规简化为个人信息出境，这一口径过于狭窄。对硬科技、先进制造、人工智能、自动驾驶、机器人、生物医药、新材料、半导体设备、工业软件等企业而言，更敏感的数据类型包括：研发数据、测试数据、运行日志、工艺参数、缺陷数据、训练数据、模型权重及客户现场数据。

《数据出境安全评估办法》（国家互联网信息办公室公告2022年第11号，2022年9月1日起施行）要求，数据处理者向境外提供重要数据，或达到特定个人信息数量门槛等情形的，应申报数据出境安全评估；申报前还应开展风险自评估，评估出境目的、范围、方式、数据敏感程度、境外接收方保护能力及再转移风险等事项。

《促进和规范数据跨境流动规定》（2024年3月22日公布施行）为国际贸易、跨境运输、学术合作、跨国生产制造、市场营销等场景设置了若干豁免情形，例如不含个人信息或重要数据的部分数据出境，可免予申报安全评估、订立标准合同或通过个人信息保护认证。但此项便利不意味着出海业务数据一概自由流动。一旦涉及重要数据、被主管部门告知或公开发布为重要数据的数据，或与受控技术、两用物项相关的技术资料数据，仍须回到更高强度的审查路径。

四、出海能力清单与合规评估

科创企业进行海外投资布局前，应首先明确"哪些能力可以出海、哪些只能境内保留、哪些需经许可方可出海"。建议在启动海外投资、设厂、设立研发中心或重大海外客户交付前，编制一份出海能力清单，至少包含以下六项内容：

(1) 拟出境的产品和设备；

(2) 拟交付的软件、算法、模型、源代码与接口；

(3) 拟提供的安装、调试、维修、培训、技术支持服务；

(4) 拟向境外开放的图纸、工艺参数、测试数据、研发文档与知识库；

(5) 拟派出的人员及其可接触的技术范围；

(6) 境外主体、最终用户、最终用途与再转移安排。

对清单中的每项内容进行三项判断：

(1) 是否落入《中国禁止出口限制出口技术目录》、两用物项出口管制清单或临时管制范围；

(2) 是否涉及重要数据、个人信息、研发数据、工业数据，或可能构成技术资料的数据；

(3) 目的国、最终用户、最终用途是否存在制裁、军事、情报、关键基础设施等高风险因素。

无法确定拟出口货物、技术、服务是否属于两用物项时，《两用物项出口管制条例》允许出口经营者向国务院商务主管部门提出咨询；出口清单所列或临时管制物项的，应申请许可，并提交合同、技术说明、最终用户和最终用途证明等材料。

咨询与许可的程序成本远低于事后被认定为无证出口的代价。

五、跨境合同的特别条款设计

涉及技术、服务、数据跨境的项目，合同不应仅约定价格、交付、验收与售后等商业条款。出口管制、技术出口、数据跨境、最终用途、再转移限制等内容，应写入主合同、技术附件、服务说明书及合规承诺，至少包含以下六类条款：

(1) 受控物项与技术识别条款：明确交付内容是否包含受控货物、技术、服务、软件、数据或技术资料，并保留因监管变化调整交付范围、暂停履行或申请许可的权利。

(2) 最终用户与最终用途条款：要求境外客户、合作方、子公司或分销商真实、完整披露最终用户、最终用途、目的国与使用场景，且不得用于军事、情报、受制裁主体、受限行业或合同约定外的用途。

(3) 再转移限制条款：未经中国境内主体书面同意并完成必要合规审查，境外接收方不得向第三国、第三方、关联方、分包商或云服务环境再转移技术、数据、软件、设备或服务能力。

(4) 人员服务边界条款：明确赴境外工程师仅可从事经批准的安装、维护、培训或技术支持，不得提供超出合规评估范围的源代码、工艺包、算法参数、模型训练方法、未公开研发资料或客户现场数据复制。

(5) 数据处理条款：明确数据范围、处理目的、存储地点、访问权限、保存期限、再转移控制、事件报告、删除返还与审计权；涉及数据出境安全评估的，应与申报材料、风险自评估报告和境外接收方承诺保持一致。

(6) 监管变化与许可条件条款：约定当出口管制清单、技术目录、目的国风险、最终用户状态或主管机关要求发生变化时，企业有权暂停交付、调整方案、申请许可、解除合同或要求对方配合整改。

六、全过程合规审查的节点设计

科创企业海外布局应设置四道强制合规审查节点，避免合规审查拖延至交易临近签署阶段。

第一道：立项前。由市场、销售、研发、法务、合规部门共同完成目的国、客户、最终用途、产品与技术的初步筛查，对红线事项不予进入商务报价流程。

第二道：方案设计前。对涉及海外设厂、研发中心、联合实验室、技术许可、核心设备出境、远程运维、模型部署、人员派驻的项目，形成书面合规评估意见，判断是否需要技术出口许可、两用物项出口许可、数据出境安全评估、对外投资核准备案、外汇登记或其他主管部门的前置程序。

第三道：合同签署前。限制出口技术项目尤其不得先作出实质承诺再补办许可。《禁止出口限制出口技术管理办法》对限制出口技术设定了许可路径，未取得许可或许可意向即作出实质性承诺，可能使交易同时面临合同效力争议、行政责任及交付违约的复合风险。

第四道：交付与运营中。合规审查不因合同签署而终止。境外客户变更使用场景、境外子公司扩大研发权限、工程师临时增加培训内容、云环境调整访问权限、项目数据新增敏感字段，均可能导致原有合规判断失效。《两用物项出口管制条例》要求在关键要素变化时重新申请许可或暂停相关出口活动。

七、综合合规建议

基于上述对新规的分析和实务经验，我们对科创企业跨境投资提出以下具体合规建议：

1. 将海外布局整合为市场、技术、数据、人员、投资一体化方案。凡以境外公司、境外团队、境外客户交付为载体复制境内核心能力的项目，应纳入高风险项目池管理（参见第一、二节）。

2. 建立受控技术与数据资产台账。除专利和软件著作权外，还应登记工艺参数、算法模型、训练数据、测试数据、研发文档、缺陷库、运维脚本、客户现场数据及关键人员所掌握的技术经验。对科创企业而言，敏感资产多藏在技术文档与人员认知里，证书登记的只是其中一部分。

3. 对海外岗位实施分级访问权限控制。境外子公司员工、外籍员工、派驻工程师、当地合作方、外包服务商可接触的代码、数据、文档，应按岗位、项目、国家、客户分级授权。对技术资料下载、远程登录、代码库访问、模型调用、数据复制等操作留痕。

4. 将出口管制与数据跨境审查前置至产品化阶段。产品经理在设计海外版本时，应区分全球通用版、受限功能版、本地部署版、境内托管版及许可后交付版，避免销售团队已承诺全功能交付而法务部门事后发现无法出境的被动局面（参见第六节）。

5. 对重点目的国与重点客户实施持续筛查。第十三条关注对外投资活动中的技术、服务、数据流动；第十五条另设境外投资安全审查制度，对影响或可能影响国家安全的境外投资及相关资产、权益的转让、处分进行安全审查。目的国风险、客户性质、最终用途变化均可能改变项目的合规结论。

6. 留存完整的合规证据链。包括清单筛查记录、技术分类意见、最终用户与最终用途证明、数据出境自评估报告、合同合规条款、内部审批记录、培训记录、访问日志、人员派驻任务书、交付边界确认书等。在发生监管问询、客户争议或境外调查时，上述材料比事后解释更具证明力。

结语

新规第十三条释放的信号是明确的：国家支持企业对外投资，但以技术、服务、数据和人员为载体的能力跨境转移，须从"业务自行判断、法务事后补办"的模式转变为"先合规审查、后实施活动"的模式。

第十三条划定了企业对外投资的合规边界，制裁依据则落在出口管制、数据安全的专门法以及《国务院关于对外投资的规定》第三十条第二款的兜底条款中。将违法成本理解为可控状态，是最危险的误读。我们建议，企业在出海前，应先完成能力清单的逐项合规审查，再决定境外布局的具体方案。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。